研究人员发现遨游浏览器PC版存在安全漏洞 但当前开发商尚未进行修复

遨游浏览器是在中国和欧洲地区颇受欢迎的浏览器,虽然市场占有率不是特别高但发布多年以来整体口碑还不错。

不过随着移动互联网的崛起遨游浏览器似乎也将重点放在移动端,桌面平台版本的浏览器更新频率相对来说很低。

比如有研究人员发现遨游浏览器桌面版存在高危漏洞,但直至今日遨游还停留在六月份的版本没有发布修复版本。

攻击者利用遨游绕过拦截机制:

研究人员发现遨游浏览器使用具有管理员权限的账户进行安装,但安装过后还会释放某个使用系统级权限的服务。

这个服务具有非常高的权限因此若存在漏洞会带来潜在危害,然而研究人员还真在这项服务里发现某个安全漏洞。

研究发现服务启动后会使用管理员权限运行并搜索某个不存在的文件,没人不知道遨游为什么要找不存在的文件

但攻击者可以在特定位置放置同名的可执行的文件等待遨游服务加载,遨游不会去验证这个文件是否具有签名等。

更糟糕的是使用该服务加载的恶意程序会具有遨游数字签名,因此多数安全软件不会主动拦截该恶意软件的运行。

遨游迟迟没有修复漏洞:

研究人员早已将漏洞信息负责人的通报给遨游浏览器开发商,遗憾的是遨游浏览器当前尚未发布新版本进行修复。

时至今日遨游浏览器官方网站提供的最新版仍然存在安全漏洞,遨游官方表示经过修复的版本很快就会开始推送

研究人员表示Windows版遨游浏览器v5.10~v5.27之间均受影响 ,  遨游浏览器目前提供的最新版本就是v5.27版

基于安全考虑建议使用遨游浏览器的用户暂时卸载该软件,待开发商发布新版本修复漏洞后再考虑重新安装使用。

蓝点网查询发现遨游浏览器iOS和安卓版更新非常频繁 , 而Windows桌面版的最新版还是2019年6月27日发布的。

看起来遨游浏览器现在也是专注为移动端用户提供服务,所以桌面版才会这么长时间还不发布新版本修复漏洞吧。

本文来源 SafeBreach,由 山外的鸭子哥 整理编辑,其版权均为 SafeBreach 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
0
限时免费领取正版套装:全方位PDF软件文电通PDF 5正版套装
哇哦恭喜您已成功屏蔽了蓝点网的小广告

评论:

4 条评论,访客:4 条,站长:0 条
  1. 老猫
    老猫发布于: 
    Maxthon 5.3.8.2000 Maxthon 5.3.8.2000 Windows 7 64位版 Windows 7 64位版

    新内核的傲游刚刚发布:国际版下载地址http://dl.maxthon.com/mx5/mx5.3.8.2000.exe,可以继续研究漏洞是否存在。

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 78.0.3904.70 Google Chrome 78.0.3904.70 Windows 10 64位版 Windows 10 64位版

      那肯定不存在了 毕竟遨游已经确认漏洞再发新版本的

  2. new1
    new1发布于: 
    Google Chrome 77.0.3865.120 Google Chrome 77.0.3865.120 Windows 10 64位版 Windows 10 64位版

    我还真不知道遨游为什么要找不存在的文件

  3. 智障大师
    智障大师发布于: 
    Google Chrome 74.0.3729.169 Google Chrome 74.0.3729.169 Windows 10 64位版 Windows 10 64位版

    多了去了,百分浏览器也是这样

发表评论